A Lei Geral de Proteção de Dados regulamenta sobre o correto tratamento e utilização de dados pessoais, e prevê punições àqueles que irem de encontro ao que a mesma estabelece, sendo aplicável a QUALQUER PESSOA – natural ou jurídica de direito público ou privado – que exerça atividades em que se utilizem dados pessoais.

Desta forma, não importa o tamanho da empresa/detentora dos dados, mas o simples fato de manusear dados pessoais para o desenvolvimento de suas atividades gera riscos àquele que faz a colheita e o armazenamento de dados pessoais.

Importante ressaltar, ainda, que a manipulação e armazenamento de dados de funcionários pelos seus empregadores também geram riscos, o que exige atenção máxima aos ditames da LGDP. 

A Lei, que já está em vigor, prevê severas punições aos infratores, que podem variar entre a advertência, a multa simples ou diária e, ainda, a suspensão e a proibição do tratamento de dados pelos infratores, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os parâmetros e critérios definidos na lei.

A multa simples pode ser de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, e limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração e a multa diária observará o limite total a que se refere a multa simples.

Além das multas e sanções administrativas, aquele que infringir as normas legais poderá ser responsabilizado civil e criminalmente também caso haja um vazamento de dados ou qualquer outra transgressão prevista na lei, mais um motivo para ficarmos atentos e fazermos todas as adequações necessárias a fim de, caso haja qualquer problema, conseguir demonstrar que tomou todas as cautelas necessárias a fim de mitigar os riscos, ou seja, demonstrar a sua boa-fé, que servirá como atenuante em caso de processos civis, criminais e/ou administrativos.

Além das condenações impostas pelo Poder Judiciário, os órgãos de defesa do consumidor e o Ministério Público também atuam ativamente em casos envolvendo o tratamento irregular de dados pessoais.

O Departamento de Proteção e Defesa do Consumidor do Ministério da Justiça, por exemplo, aplicou uma sanção administrativa no valor de R$ 6.600.000,00 (seis milhões e seiscentos mil reais) ao Facebook pelo compartilhamento indevido de dados dos usuários da plataforma. Já o Ministério Público do Distrito Federal e Territórios conta com uma Unidade Especial de Proteção de Dados e Inteligência Artificial, sendo o primeiro órgão a propor uma Ação Civil Pública com fundamento na violação à LGPD.

Seguem informações sobre alguns casos que já foram julgados (sentenciados e liminarmente) pela Justiça em razão do descumprimento da LGPD. Devemos levar em consideração que a maioria das empresas (cerca de 85%), não estão preparadas para a aplicação da Lei, o que tende a elevar consideravelmente o número de conflitos que versem sobre esta questão, e este cenário é bastante preocupante!

 

#1 Decisão do TJSP sobre uso indevido de dados

Foi a primeira condenação de que se tem conhecimento no país com a aplicação direta da Lei Geral de Proteção de Dados.

Em resumo, o juízo condenou uma construtora por ter feito uso indevido dos dados pessoais de seus clientes.

A construtora teria compartilhado dados do autor a empresas estranhas ao contrato, sem o consentimento do titular dos dados pessoais.

O autor havia comprado um imóvel, por meio de contrato firmado com a ré e, em seguida,  diversas empresas ficaram, insistentemente, oferecendo serviços, citando a compra feita com a construtora.

Por isso o autor requereu e conseguiu indenização por danos morais no valor de 10 mil reais, sendo a empresa condenada, por ter descumprido obrigação de não fazer.

O juízo fundamentou a decisão embasando-se, expressamente, em dispositivos da LGPD. 

 

#2 Decisão do TJDFT por comercialização de dados pessoais

Recentemente, uma empresa de e-commerce foi processada por uso indevido de dados pessoais.

Na ação, o autor provou que o e-commerce atuou como intermédio de comercialização maciça de dados pessoais.

Para além disso, determinado vendedor que exercia suas atividades por meio do portal, ofertava cadastros e banco de dados em geral, tendo o réu como beneficiário dos pagamentos.

A fundamentação da decisão do juiz foi baseada, diretamente, na Lei Geral de Proteção de Dados.

O juiz deferiu a tutela de urgência postulada na inicial, determinando ao réu, empresa famosa de e-commerce, que se abstenha de disponibilizar dados dos indivíduos, seja de forma gratuita ou onerosa, sob pena de multa de 2 mil reais a cada descumprimento.

Logo, apesar deste processo não ter tido sentença de mérito, ainda assim a liminar já demonstra, na prática, uma das diversas aplicações da Lei Geral de Proteção de Dados. 

 

#3 Decisão do TJDFT em face do Sindicato dos Empregados em Entidades de Assistência Social – PJe: 0728278-97.2020.8.07.0001

A juíza titular da 9ª Vara Cível de Brasília condenou o site de notícias Metrópoles, a remover publicação indevida e indenizar os diretores do Sindicato dos Empregados em Entidades de Assistência Social e de Formação Profissional do Distrito Federal – SINDAF, pelos danos morais causados por matéria jornalística que expôs dados pessoais dos autores (contracheques e informações bancárias), afrontando a Lei Geral de Proteção de Dados – LGPD, bem como violando seu direito à privacidade.

Apesar de ter proferido sentença julgando improcedentes os pedidos, ao responder os embargos de declaração apresentados pelos autores, a magistrada ratificou sua decisão, pois não tinha se pronunciado acerca da ilegalidade da divulgação dos dados privados. E explicou: “De fato, a matéria jornalística publicou os dados bancários e expôs cópias dos contracheques dos Embargantes, violando-lhes manifestamente os direitos à privacidade e à proteção de dados pessoais… Com efeito, admitir que tais dados possam ser divulgados seria colocar em risco a privacidade e a segurança pessoal dos Embargantes, o que é terminantemente vedado tanto pela Constituição Federal, em seu art. 5º, X, como pela Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, art. 2º, I, II e IV)”. Assim, acolheu os argumentos dos autores e modificou a sentença para confirmar a liminar previamente concedida e determinar que o site Metrópoles mantenha a remoção dos contracheques e os dados pessoais bancários anexados à matéria, bem como o condenou a indenizar os danos morais causados aos autores, que fixou em R$ 10 mil para cada um.

A decisão não é definitiva e cabe recurso.

 

Em resumo, para a efetiva implementação de mecanismos de segurança, importante que as empresas trabalhem em conjunto com o setor jurídico e empresas de TI especializadas, vez que será necessário o estabelecimento da governança de dados e fazer uso de certificados, certidões e mecanismos seguros para utilização dos dados, a fim de minimizar riscos.

Esperamos tê-los ajudado a compreender a importância de adequação à LGPD, e informamos que o Escritório Domingues e Herold está disposição para o esclarecimento de quaisquer dúvida em relação ao assunto, bem como para a realização de diagnóstico de risco e adequações que se fizerem necessárias.

Ana Carolina de Souza

Controller